CERTA : Multiples vulnérabilités dans Apache Tomcat
février 2008 par CERT-FR
1 Risque
* Atteinte à l’intégrité des données ;
* atteinte à la confidentialité des données.
2 Systèmes affectés
Les différentes vulnérabilités affectent les versions suivantes :
* 4.1.0 à 4.1.36 ;
* 5.5.0 à 5.5.25 et 6.0.0 à 6.0.14 ;
* 6.0.5 à 6.0.15.
3 Résumé
Plusieurs vulnérabilités affectent le moteur de servlets Apache Tomcat. Elles
permettent de manipuler des données à distance et cela en contournant la
politique de sécurité.
4 Description
Les vulnérabilités sont dues à la mauvaise validation de différentes entrées.
Elles concernent entre autres une mauvaise vérification des caractères insérés
dans un cookie.
5 Solution
Se référer aux bulletins de sécurité de l’éditeur pour l’obtention des
correctifs (cf. section Documentation).
6 Documentation
* Bulletins de sécurité pour Apache Tomcat 4.x, 5.x et 6.x.
http://tomcat.apache.org/security-4.html
http://tomcat.apache.org/security-5.html
http://tomcat.apache.org/security-6.html
* Référence CVE CVE-2007-533 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-533
* Référence CVE CVE-2007-6286 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6286
* Référence CVE CVE-2008-0002 :